iMonitor auf der IDAACS 2015 in Warschau

Thema der Konferenz: „Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications”

Seit 2001 findet die IDAACS-Konferenz alle zwei Jahre statt. Dieses Jahr trafen sich die IT-Experten im Zeitraum 24.-26. September in Warschau an der dortigen Universität und es wurden viele interessante Themen behandelt, u.a. aus den Bereichen Cyber-Security, künstliche Intelligenz und Wireless. Das Hauptziel der IDAACS-Veranstaltungen (http://idaacs.net/2015) ist die Bereitstellung eines Forums, das Berichte in hoher fachlicher Qualität in den Bereichen State-of-the-art-Theorien, Technologien und Applikationen liefert. So wurden in diesem Jahr nur 71 % der eingereichten Fachbeiträge akzeptiert und durften vorgestellt werden. Umso erfreulicher war es, dass das iMonitor-Projekt dazu gehörte.

 

Politechnica-Gebäude der Universität von Warschau

 

Im iMonitor-Vortrag stellte die DECOIT vor, wie KI-Verfahren eingebunden werden können. Außerdem wurde die neue Form der Event-Korrelation vorgestellt, die Attacken durch Anomalie-Erkennung identifiziert und nicht nur Mustererkennung nutzt, wie das bei vielen Herstellerlösungen der Fall ist. Die Architektur von iMonitor enthält Sensoren, die Daten sammeln, eine Zeitreihenanalyse, die nach Anomalien im Netzwerk-Traffic Ausschau hält, und eine Korrelationskomponente sowie eine zentrale grafische SIEM-Oberfläche. Über einen Knowledge Server können Regeln hoch- und runtergeladen werden. Die Wissensrepräsentation wird über eine Ontologie-Basis vorgenommen; dadurch kann das gesamte Netzwerk mit allen Komponenten aufgenommen werden. Neue Sensoren können ebenfalls eingebettet werden. Die Anomalie-Erkennung wurde anhand von Performance-Daten umgesetzt, so dass jede Abweichung von früheren Messungen analysiert wird. Aber erst bei einem Bündel von Anomalien wird ein Vorfall generiert. Die Skalierbarkeit eines solchen Systems hängt allerdings von der Anzahl der Events ab, die es zu bearbeiten hat. Dies kann durchaus zu einem Big-Data-Problem werden. iMonitor hat aber bewiesen, dass unbekannte Vorfälle automatisch erkannt werden können. Zudem lassen sich durch die Korrelation der Events Zusammenhänge besser deuten.

 

Im zweiten Vortrag der DECOIT wurden die Arbeiten an der App „DECOmap for Android“ vorgestellt. Die App ist sowohl mit dem SIMU-Projekt (www.simu-project.de), als auch mit dem iMonitor-Projekt verknüpft. Motivation der Entwicklungsarbeiten war, die wachsende Verbreitung von Android im Unternehmensumfeld – speziell oder auch gerade durch BYOD-Szenarien. Aktuell findet allerdings nur eine Benutzer-Authentifizierung statt. Der Status des Endgeräts, z. B. Firmware-Status oder Patch-Zustand, sowie dessen Integrität wird nicht einbezogen. Aus diesem Grund wurde in einem früheren Forschungsprojekt der DECOIT eine IF-MAP-basierte Android App entwickelt, die entsprechende Metadaten (Build Number, Firmware Version, CPU Load etc.) ausliest und an einen zentralen Server schickt. Der Ansatz basiert auf der TNC-Spezifikation der Trusted Computing Group (TCG). Allerdings besitzen nicht alle SIEM-Systeme eine IF-MAP-Schnittstelle, weshalb die Android App um NSCA für Icinga (Nagios) erweitert wurde. „DECOmap for Android“ ist Open Source und kann über die Projektwebseiten oder Github kostenlos genutzt werden.

 

Bei der Abschluss-Session der IDAACS wurde auf die nächste Konferenz in zwei Jahren hingewiesen, die in Bukarest stattfinden wird. Als Fazit stellten die Organisatoren fest, dass die IDAACS Ost und West zusammenbringt, unabhängig von der politischen Ausrichtung. Auch eine weitere IDAACS Wireless wird es geben, die wieder in Offenburg stattfinden wird.